新型コロナ 最新の感染状況や対応は

「iPhoneへのゼロクリック攻撃は一体なぜそんなに危険なのか?」をセキュリティ研究者が分かりやすく解説

「iPhoneへのゼロクリック攻撃は一体なぜそんなに危険なのか?」をセキュリティ研究者が分かりやすく解説 - 画像


Appleは2021年9月13日にiOS 14.8およびiPadOS 14.8をリリースし、ユーザーの操作なしで端末がスパイウェアに感染するゼロクリック・エクスプロイトに対応しました。Appleが、脆弱(ぜいじゃく)性の報告からわずか1週間程度で修正プログラムを開発するほどこの問題を重要視している理由について、セキュリティの専門家が一問一答形式で解説しました。
Apple security flaw: How do 'zero-click' attacks work? - Digital Journal
https://www.digitaljournal.com/tech-science/apple-security-flaw-how-do-zero-click-attacks-work
◆質問1:そもそもゼロクリック攻撃とは?
iPhoneの脆弱性を発見したトロント大学のサイバーセキュリティセンター・Citizen Labでシニアリサーチャーを務めるジョン・スコット・レイルトン氏によると、従来のスパイウェアはターゲットに悪意のあるリンクやファイルをクリックさせることで、その人が持つスマートフォンやPCにインストールされる仕組みだったとのこと。

「iPhoneへのゼロクリック攻撃は一体なぜそんなに危険なのか?」をセキュリティ研究者が分かりやすく解説 - 画像


しかし、ゼロクリック攻撃では「ユーザーがリンクにアクセスしなくてもスパイウェアが端末にインストールされてしまう」とされています。そのため、スコット・レイルトン氏は「ゼロクリック攻撃は、スパイウェアの脅威を新たなレベルへと引き上げています」と話しました。
今回のアップデートでは特に、AppleのメッセージアプリであるiMessage(日本のiPhoneでは「メッセージ」と表記)を介して標的のiPhoneが乗っ取られてしまう「Pegasus」というスパイウェアを念頭に、対策が講じられているとのことです。
Pegasusがどんなスパイウェアなのかは、以下の記事を読むとよく分かります。
iPhoneやAndroid経由で世界中の著名人や政治家を監視するスパイウェア「Pegasus」とは? - GIGAZINE

「iPhoneへのゼロクリック攻撃は一体なぜそんなに危険なのか?」をセキュリティ研究者が分かりやすく解説 - 画像


◆質問2:自分の端末の感染に気づく方法は?
スコット・レイルトン氏によると、ゼロクリック攻撃が仕掛けられたかどうかを知ることはできないため、ユーザー個人がゼロクリック攻撃による脅威から身を守る方法はないとのこと。
そのため、スコット・レイルトン氏はApple製品のユーザーに対して、Appleが9月13日にリリースしたアップデートをできるだけ早くインストールするよう勧めています。
Appleが、9月7日に報告された脆弱性の修正プログラムを13日にリリースしたことについて、スコット・レイルトン氏は「Appleが大企業だということを考慮してもたぐいまれなスピード」と評価しています。
◆質問3:なぜiMessageが狙われるのか?
iMessageの欠陥が表面化したのは、Facebook傘下のメッセージアプリであるWhatsAppで同様の「ゼロクリック脆弱性」が見つかったのがきっかけです。この時には、WhatsApp経由でジャーナリストらの端末にPegasusがインストールされていたことが発覚しました。
WhatsAppで見つかった脆弱性については、以下の記事にまとめられています。
チャットアプリWhatsAppに電話一本でスマホを乗っ取れる脆弱性が発見される、スパイウェアがインストールされた実例も - GIGAZINE

「iPhoneへのゼロクリック攻撃は一体なぜそんなに危険なのか?」をセキュリティ研究者が分かりやすく解説 - 画像


by haberlernet NET
Pegasusの開発元であるイスラエル企業・NSO GroupがWhatsAppやiMessageといったメッセージアプリを狙ったのは、これらのアプリが広く普及しているからとのこと。また、メッセージアプリを使えば電話番号で個人を特定できるほか、端末の位置を簡単に特定することもできるため、ハッカーにとっては格好の標的なのだとスコット・レイルトン氏は指摘しています。
◆質問4:このようなハッキングを阻止することはできるのか?
AppleのiOSやGoogleのAndroidでは、多数の脆弱性が定期的に修正されていますが、NSO Groupはイスラエル軍情報部の元エリートメンバーを擁しているため、アプリやOSの弱点探しに投入できる人的資源が非常に豊富とのこと。また、ハッカーがダークウェブでアプリなどのアクセス権を販売しているため、OSやアプリの開発者らが対策を講じても、いたちごっこになってしまうのだそうです。
こうした点から、フランスのサイバーセキュリティ企業であるPradeoで最高技術責任者を務めるビビアン・ラウール氏は、「iMessageの脆弱性が突き止められたことで、iPhoneへの侵入経路を減らすいいきっかけになりましたが、残念ながらPegasusを阻止するのには十分とは言えません」と述べました。

ジャンルで探す